Mylobot es un malware tipo botnet, el cual se infiltra desde la Dark Web. Mostrando un nivel de complejidad alto basado en técnicas de evasión. En términos de función, Mylobot puede usarse para descargar cualquier carga útil, ya sea criptominería, ransomware, troyanos bancarios, spyware u otro tipo de malware.

PROCESOS DE OCULTAMIENTO

  • Anti-virtual (VM) y anti – Sandbox: El malware busca su entorno local y si encuentra una máquina virtual, no se ejecuta.
  • Anti- depuración: Genera alteraciones de comportamiento al ver programas de depuración.
  • Inyección de código: Con el fin de detener procesos del sistema.
  • Estado suspendido: Genera un proceso en estado suspendido y luego reemplaza por el que se debe ocultar.
  • Mecanismo retardado: Permanece inactivo por un promedio de 14 días para generar conexión con los servidores de comando y control.
Mylobot 2022

Apenas es instalado en el equipo, Mylobot apaga los procesos de Windows defender y Windows update, paralelamente bloquea puertos en el firewall de Windows para poder operar sin ser detenido. Adicionalmente al evidenciar la presencia de cualquier otro malware, este procede a eliminarlos con el fin de ser el único atacante en la maquina afectada.

El daño esperado depende de la carga útil que el atacante quiera distribuir, esto puede ser desde un ransomware, control de periféricos de la máquina para generar extorsión, monitoreo de actividad etc.

Ransomware

Indicadores de compromiso (IOCs)

HASH

f4ba5e8f98fe70d764df71b7c390237b90ed0fc3408579a15a06ee56008a3531

Países Atacantes

Los 10 principales países donde se originaron ataques son: Irak, Irán, Argentina, Rusia, Vietnam, China, India, Arabia Saudita, Chile y Egipto.

Nodos

Casos de uso*:

  • Tráfico sospechoso desde IP destino peligrosas.
  • Control de acceso por geolocalización.

*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados

Para más información puede consultar las siguientes fuentes asociadas a la noticia: